Detener la enumeración de usuarios.

Descripción

Stop User Enumeration es un plugin diseñado para detectar y prevenir que los hackers escaneen su sitio para los nombres de usuarios.

User Enumeration is a type of attack where nefarious parties can probe your website to discover your login name. This is often a pre-cursor to brute-force password attacks. Stop User Enumeration helps block this initial attack and allows you to log IPs launching these attacks to block further attacks in the future.

Herramientas como WPSCAN están diseñadas para el uso de los hackers éticos y se esfuerzan por encontrar los nombres de inicio de sesión de los usuarios. Los hackers éticos piden permiso primero, este plugin esta diseñado para reducir las herramientas cuando se usan sin permiso y cuando se usan en conjunto con fail2ban pueden bloquear esos intentos en el cortafuegos (Firewall)

Si estas en una VPS o en un servidor dedicado, a medida que se registra la IP del ataque, puedes usar (configuracion opcional adicional) fail2ban para bloquear el ataque directamente en el cortafuegos de tu servidor, una potente solucion para los dueños de VPS para detener ataques de fuerza bruta y tambien ataques DDoS (Denegación de servicio)

Si no tienes acceso a instalar fail2ban (ej. en un host compartido) puedes seguir usando este plugin.

El plugin puede detener el id de un usuario filtrado por la oEmbed API call.

Since WordPress 4.5 user data can also be obtained by API calls without logging in, this is a WordPress feature, but if you don’t need it to get user data, this
plugin will restrict and log that too.

Since WordPress 5.5 sitemaps are generated by core WP ( wp-sitemap.xml ) which includes a user/author sitemap that exposes the user id. You can enable / disable this in the plugin settings.

Compatible con PHP 8.0

Probado en PHP 8

Características incluidas

  • Bloquea la solicitud de enumeración de usuaros por GET o ENTRADA
  • Registra en el sistema un bloque, asi que Fail2Ban puede ser usado para bloquear una ip
  • Opcionalmente bloquea las solicitudes REST API de usuarios no autorizados
  • Opcionalmente elimina el mapa del sitio del autor
  • Opcionalmente elimina el autor del OEMBED
  • Opcionalmente elimina los números de los comentarios de los autores

Instalación

Este sector describe como instalar un plugin y hacer que funcione

Ya sea usando el escritorio ‘Añadir un plugin’ característica para encontrar, instalar y activar el plugin o
1. Descarga el plugin desde el enlace de descarga
2. Sube entero la carpeta de stop-user-enumeration a tu web /wp-contents/plugins/stop-user-enumeration usando un gestor de archivos o FTP
3. Activa el plugin desde el menú de plugins.

FAQ

It doesn’t seem to work!

Are you logged in? This plugin won’t do anything for logged in users, it only works when you are logged out. This is the way it is designed. A common mistake is to install the plugin and test it, while still logged in as admin.

Mi nombre de usuario todavía parece estar filtrado!

Los temas y los xml feeds van a incluir tu usuario ‘Nombre mostrado’. Si no quieres especificar ningun detalle del nombre o nick name (apodo), el ‘Nombre mostrado’ va a ser tu nombre de acceso por defecto. Asegúrate de que siempre NO es tu nombre de usuario o va a ser filtrado en múltiples sitios

Are there any settings?

Yes, but the default ones are fine for most cases

This doesn’t work with PHP 5.2!

Este plugin no es compatible con PHP 5.2. PHP 5.2 es muy antiguo y realmente necesita ordenar su alojamiento, ejecuta una versión del software que ya pasó el final de su vida útil compatible es un riesgo de seguridad.

Will it work on Multisite?

Si

Why don’t I just block with .htaccess

Una solución .htaccess es insuficiente por varias razones, pero la mayoría de entradas en el sujeto no cubre POST blocking, REST API bloquea y sin avisar bloquea el acceso del usuario administrador. Y no registres la ip en un cortafuegos, el mayor beneficio!

Does it break anything?

If a comment is left by someone just giving a number that comment would be forbidden, as it is assumed a hack attempt, but the plugin has a bit of code that strips out numbers from comment author names

Do I need fail2ban for this to work?

No, but fail2ban will allow you to block IP addresses at your VPS / Dedicated server firewall that attempt user enumeration.

What is the fail2ban config?

Un archivo de configuracion fail2ban, wordpress-usernum.conf se encuentra en el directorio de plugins stop-user-enumeration/fail2ban/filter.d

Por que necesita ir en el fail2ban jail.local?

Un ejemplo jail.local se encuentra en el directorio de plugins stop-user-enumeration/fail2ban

Reseñas

21 de agosto de 2022
Once I figured out that I needed it, I got it. Works perfectly!
12 de agosto de 2022
After installing a user activity monitoring plugin, I realized that all the usernames on my site had a slew of malicious login attempts associated with them, which led me here. After installing this plugin, this all went away. Thanks for what you're doing!
Leer todas las 77 reseñas

Colaboradores y desarrolladores

«Detener la enumeración de usuarios.» es un software de código abierto. Las siguientes personas han colaborado con este plugin.

Colaboradores

«Detener la enumeración de usuarios.» ha sido traducido a 1 idioma local. Gracias a los traductores por sus contribuciones.

Traduce «Detener la enumeración de usuarios.» a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

1.4.5

  • remove redundant CSS and fonts

1.4.3

  • add buy me a coffee donation

1.4.3

  • Move query arg to init hook to avoid unnecessary warnings
  • Update donation lib

1.4.2

  • Fix edge case where review / donate become undismissible

1.4.1

  • Tidy donation library for build to remove dev dependencies

1.4.0

  • Remove freemius library and optional registration
  • Add donation and contribution notices

1.3.32

  • be case insensitive when checking REST API

1.3.31

  • Upgrade to version 1.3.30 to disable author site maps – you will need to enable in settings (closes issue #6)

1.3.30

  • option to remove author site maps

1.3.29

  • Minor javascript fix
  • better IP detection for proxies

1.3.28

  • Library update

1.3.27

  • Removed console issue when no comments turned on

1.3.26

  • Updated library

1.3.25

  • Removed link

1.3.24

  • Changed settings page

1.3.23

  • Removed donate link

1.3.22

  • Moved support link to settings page to reduce menu clutter
  • Updated Freemius library to 2.3.0

1.3.21

  • Changed menu name and support link

1.3.20

  • minor improvement

1.3.19

  • minor improvement

1.3.18

  • minor tweak to work better with 5.0

1.3.17

  • changed settings page to stop random metaboxes

1.3.16

  • Reworked settings page

1.3.15

  • fix to ensure scripts not enqueued unless required

1.3.14

  • fix double plugin header

1.3.13

  • ability to link to shared host firewall ( fullworks-firewall )

1.3.12

  • Resolve some missing files

1.3.11

  • Added language localisation for translations
  • Added Spanish translation

1.3.10

Fixed unused javascript & css in settings page

1.3.9

Added language settings to allow translation.

Sanitized text being written to syslog

Closed potential REST API bypass

1.3.8

Security fix to stop XSS exploit

Also coded so should work with PHP 5.3 – although PHP 5.3. has been end of life for over two years it seems some hosts still use this. This is a security risk in its own right and
sites using PHP 5.3 should try to upgrade to a supported version of PHP, but this change is for backward compatibility.

1.3.7

Fix to allow deprecated PHP Version 5.4 to work, as 5.4 seems to still be in common use despite end of life

Note this code wont work on PHP 5.3

1.3.6

Fix PHP error

1.3.5

  • full rewrite
  • Changed detection rules to stop a reported bypass
  • Added detection and suppression of REST API calls to user data
  • Added settings page to allow REST API calls or stop system logging as required
  • Added code to remove numbers from comment authors, and setting to turn that off